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Verfahren zum Konf iaurieren eines sicheren Busteilnehmers und 
sicheres Steuerunassystem mit einem solchen 

Die vorliegende Erfindung betrifft ein Verfahren zum Konfigu- 
rieren eines sicheren Busteilnehmers beim Anschliel3en an einen 
Feldbus in einem sicheren Steuerungssystem^ wobei dem sicheren 
Busteilnehmer eine definierte Teilnehmeradresse zugeordnet 
wird. 

Die Erfindung betrifft dariiber hinaus auch ein Steuerungssystem 
zum sicheren Steuern von sicherheitskritischen Prozessen, mit 
zumindest einem sicheren Busteilnehmer, der an einen Feldbus 
angeschlossen ist, wobei der sichere Busteilnehmer erste Mittel 
zum Aufnehmen und Auswerten eines Bustelegramms sowie einen 
Speicher zum Speichern einer dem Busteilnehmer zugeordneten 
Teilnehmeradresse auf weist . 



Ein derartiges Verfahren bzw. ein derartiges Steuerungssystem 
sind aufgrund ihrer Verwendung beim Steuern von sicherheitskri- 
tischen Prozessen bekannt. 

Bei einem Feldbus handelt es sich urn ein System zur Datenkommu- 
nikation, bei dem die angeschlossenen Busteilnehmer iiber eine 
Sammelleitung miteinander verbunden sind. Daher konnen zwei an 
den Feldbus angeschlossene Busteilnehmer miteinander kommuni- 
zieren, ohne individuell direkt miteinander verkabelt zu sein. 
Beispiele fiir bekannte Feldbusse sind der sogenannte CAN-Bus, 
der sogenannte Profibus und der sogenannte Interbus. 

Im Bereich der Steuer- und Automatisierungstechnik ist die Ver- 
wendung von Feldbussen bereits seit langerem hinreichend be- 
kannt. Dies gilt jedoch nicht fiir die Steuerung von sicher- 
heitskritischen Prozessen, bei denen in der Praxis bis in die 
jiingste Vergangenheit hinein die an der Steuerung beteiligten 
Einheiten individuell miteinander verkabelt wurden. Grund hier- 
fiir ist, daJ3 die bekannten Feldbusse die zur Steuerung von si- 
cherheitskritischen Prozessen erf order liche Fehlersicherheit 
(Fehlerwahrscheinlichkeit kleiner als 10"^^) nicht gewahrleisten 
konnten. Zwar besitzen alle bekannten Feldbusse MaBnahmen zur 
Fehlersicherung bei der Dateniibertragung, diese MaJ3nahmen sind 
jedoch nicht ausreichend, urn die geforderte Fehlersicherheit zu 
gewahrleisten. Hinzu kommt, dal3 Feldbusse offene Systeme sind, 
an die grundsatzlich beliebige Einheiten angeschlossen werden 
konnen. Dabei besteht die Gefahr, dai3 eine Einheit, die mit ei- 
nem zu steuernden sicherheitskritischen ProzeJ3 gar nichts zu 
tun hat, diesen ungewollt beeinfluBt. 



Unter einem sicherheitskritischen ProzeB wird hier ein ProzeJ3 
verstanden, von dem bei Auftreten eines Fehlers eine nicht ak- 
zeptable Gefahr fiir Menschen oder materielle Guter ausgeht. Bei 
einem sicherheitskritischen Prozei3 muR daher mit im Idealfall 
100%iger Sicherheit gewahrleistet sein, dafl der ProzelJ bei Auf- 
treten eines Fehlers in einen sicheren Zustand uberfuhrt wird. 
Dies kann bei einer Maschinenanlage beinhalten, dafi die Anlage 
abgeschaltet wird. Bei einem chemischen ProduktionsprozeB konn- 
te ein Abschalten jedoch unter Umstanden eine unkontrollierte 
Reaktion hervorrufen, so daB in einem solchen Fall der ProzeB 
besser in einen unkritischen Parameterbereich gefahren wird. 

Sicherheitskritische Prozesse konnen auch Teilprozesse von gro- 
Beren, iibergeordneten Gesamtprozessen sein. Bei einer hydrauli- 
schen Presse kann bspw. die Materialzuf uhrung ein nicht- 
sicherheitskritischer TeilprozeB, das Inbetriebnehmen des PreB- 
werkzeugs dagegen ein sicherheitskritischer TeilprozeB sein, 
Weitere Beispiele fiir sicherheitskritische ( Teil- ) Prozesse sind 
die Uberwachung von Schutzgittern, Schutztiiren oder Licht- 
schranken, die Steuerung von Zwei-Hand-Schaltern oder die Uber- 
wachung und Auswertung eines Not-Aus-Schalters . 

Die an der Steuerung eines sicherheitskritischen Prozesses be- 
teiligten Einheiten mlissen liber ihre eigentliche Funktion hin- 
ausgehende, sicherheitsbezogene Einrichtungen aufweisen, um von 
den zustandigen Auf sichtsbehorden fiir sicherheitskritische Auf- 
gaben zugelassen zu werden. Diese Einrichtungen dienen vor al- 
lem der Fehler- und Funktionsiiberwachung. In der Regel sind die 
beteiligten Einheiten redundant aufgebaut, um eine sichere 
Funktion auch bei Auftreten eines Fehlers zu gewahrleisten . 
Einheiten mit derartigen sicherheitsbezogenen Einrichtungen 
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werden nachfolgend im Unterschied zu "normalen" Einheiten als 
sicher bezeichnet. 

Die an den Feldbus angeschlossenen Einheiten werden nachfolgend 
allgemein als Busteilnehmer bezeichnet • Bei einem Steuerungssy- 
stem zum sicheren Steuern von sicherheitskritischen Prozessen 
handelt es sich bei den Busteilnehmern liblicherweise entweder 
um Steuerungseinheiten oder um Signaleinheiten. Als Steuerungs- 
einheit wird dabei ein Busteilnehmer bezeichnet^ der eine ge- 
wisse Intelligenz zur Steuerung eines Prozesses besitzt. In der 
Fachterminologie werden derartige Busteilnehmer iiblicherweise 
als Clients bezeichnet. Sie erhalten Daten und/oder Signale, 
die ZustandsgroBen der gesteuerten Prozesse represent ieren, und 
aktivieren in Abhangigkeit von diesen Informationen Aktoren, 
die den zu steuernden ProzeB beeinf lussen. Ublicherweise ist 
die Intelligenz in Form eines veranderbaren Anwenderprogramms 
in einem Speicher der Steuerungseinheiten abgelegt. In der Re- 
gel werden als Steuerungseinheiten sogenannte SPS (Speicher 
Progr ammierbare Steuerungen ) verwendet • 

Eine Signaleinheit ist demgegenuber ein Busteilnehmer, der im 
wesentlichen Ein- und Ausgangskanale (E/A-Kanale) bereitstellt , 
an die einerseits Sensoren zur Aufnahme von ProzeBgroBen und 
andererseits Aktoren angeschlossen werden konnen. Die Si- 
gnaleinheiten besitzen in der Regel keine Intelligenz in Form 
eines veranderbaren Anwenderprogramms. Sie werden in der Fach- 
terminologie ublicherweise als Server bezeichnet. 

Bei vielen Feldbussen, wie etwa dem CAN-Bus, ist es bekannt, 
den einzelnen Busteilnehmern eine individuelle Teilnehmeradres- 
se zuzuordnen. Die Teilnehmeradresse dient dazu, Bustelegramme 
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mit zu ubertragenden Nachrichten gezielt von dem sendenden Bu- 
steilnehmer zu dem empf angenden Busteilnehmer zu ubermitteln . 
Beim Aufbau eines Steuerungssystems zum Steuern von sicher- 
heitskritischen Prozessen stellt die Vergabe der Teilnehme- 
radressen an die Busteilnehmer eine sicherheitskritische MaJ3- 
nahme dar. Wenn namlich bspw. zwei verschiedene Signaleinheiten 
die Zustandsdaten von zwei verschiedenen Schutzgittern aufneh- 
men und an die Steuerungseinheit weitergeben, kann eine falsche 
AdreBzuordnung der beiden Signaleinheiten dazu fiihren, daiJ die 
Steuerungseinheit die Bewegung einer abzusichernden Maschine 
nicht abschaltet/ obwohl das entsprechende Schutzgitter geoff- 
net wurde. 

Bei den bisher bekannten, gattungsgemafien Steuerungssystemen 
bzw. den entsprechenden Verfahren zum Konf igurieren der siche- 
ren Busteilnehmer werden die Teilnehmeradressen direkt am Bus- 
teilnehmer eingestellt. Hierzu weist jeder Busteilnehmer entwe- 
der einen mechanischen Codierschalter , insbesondere einen Dreh- 
schalter, oder eine serielle Programmierschnittstelle auf . Ein 
Nachteil dieser Losung ist, daB das Einstellen der Teilnehmer- 
adressen hier direkt am Ort des einzelnen Busteilnehmers erfol- 
gen muB. Bei komplexen ProzeBsteuerungeh im industriellen Be- 
reich konnen die einzelnen an den Feldbus angeschlossenen 
Busteilnehmer jedoch bis zu mehreren hundert Metern auseinan- 
derliegen. Beim Aufbau eines sicheren Steuerungssystems sind in 
diesem Fall daher groBe Laufwege erforderlich, die das Einrich- 
ten und Konf igurieren umstandlich machen. 

Hinzu kommt, daB es aufgrund der groBen Laufwege in diesem Fall 
leicht moglich ist^ den Uberblick zu verlieren^ was zu fehler- 
haften AdreBzuordnungen fuhren kann. Ein weiterer wesentlicher 



Nachteil der bekannten Losungen ist, dai3 beim Austausch eines 
defekten Busteilnehmers dessen Teilnehmeradresse bekannt sein 
mui3, damit diese anschlieBend dem Austausch-Busteilnehmer zuge- 
ordnet werden kann, Bei industriellen Anlagen^ die haufig rund 
um die Uhr betrieben werden, bedeutet dies, daJ3 immer entspre- 
chend fachkundiges Personal verfiigbar sein muB, um den Aus- 
tausch eines defekten Busteilnehmers vorzunehmen. In dem Fall, 
dai3 dem Busteilnehmer die Teilnehmeradresse mit Hilfe eines 
Programmiergerates iiber die serielle Schnittstelle zugeordnet 
wird, ist auch stets das entsprechende Programmiergerat erfor- 
derlich. 

Bei der Zuordnung einer Teilnehmeradresse liber eine Program- 
mierschnittstelle besteht dariiber hinaus der Nachteil, daJ3 die 
dem Busteilnehmer zugeordnete Teilnehmeradresse von aui3en nicht 
zu erkennen ist. Hierdurch besteht die Gefahr, daJ3 ein Busteil- 
nehmer, der friiher einmal mit einer anderen Teilnehmeradresse 
verwendet wurde, bei seiner Verwendung in einer neuen Umgebung 
versehentlich mit seiner alten Teilnehmeradresse betrieben 
wird. Dieses Risiko ist besonders groJ3, wenn ein schon einmal 
verwendeter Busteilnehmer im Rahmen einer Wartung in ein ande- 
res Steuerungssystem integriert werden soil. 

Es ist daher Aufgabe der vorliegenden Erfindung, ein Verfahren 
der eingangs genannten Art anzugeben, mit dem einem sicheren 
Busteilnehmer von einer zentralen Stelle aus auf einfache und 
gleichzeitig fehlersichere Art und Weise eine Teilnehmeradresse 
zugeordnet werden kann. Es ist dariiber hinaus Aufgabe der Er- 
findung, ein entsprechendes Steuerungssystem anzugeben. 
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Diese Aufgabe wird durch ein Verfahren der eingangs genannten 
Art gelost, das folgende Schritte aufweist: 

Versenden eines ersten Anmeldetelegramms von dem sicheren 
Busteilnehmer zu einer an den Feldbus angeschlossenen Ver- 
waltungseinheit , wobei das erste Anmeldetelegramm eine 
festgelegte Universaladresse beinhaltet, 

Versenden eines AdreBvergabetelegrairans von der Verwal- 
tungseinheit an den sicheren Busteilnehmer, wobei das 
AdreBvergabetelegramm die definierte Teilnehmeradresse be- 
inhaltet und 

Abspeichern der definierten Teilnehmeradresse in einem 
Speicher des sicheren Busteilnehmers . 

Die Aufgabe wird des weiteren durch ein Steuerungssystem der 
eingangs genannten Art gelost, bei dem der Busteilnehmer zweite 
Mittel aufweist, urn sich unter einer festgelegten Universal- 
adresse bei einer an den Feldbus angeschlossenen Verwaltungs- 
einheit anzumelden, sowie dritte Mittel, um ein AdreBvergabete- 
legramm mit der Teilnehmeradresse aufzunehmen und auszuwerten. 

Mit dem genannten Verfahren ist es moglich, den zu konfigurie- 
renden Busteilnehmer zunachst ohne Zuordnung der individuellen 
Teilnehmeradresse an den Feldbus anzuschlieBen . Aufgrund der 
festgelegten Universaladresse kann sich dieser Busteilnehmer 
anschlieBend bei der genannten Verwaltungseinheit anmelden. Die 
Verwaltungseinheit ist bevorzugt eine zentrale Verwaltungsein- 
heit fiir das gesamte Steuerungssystem, Im nachsten Schritt wird 
dem zu konf igurierenden Busteilnehmer von der Verwaltungsein- 
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heit die individuelle Teilnehmeradresse iibermittelt . Dies ge- 
schieht mit Hilfe eines speziellen Adrei3vergabetelegrainms ^ das 
die Verwaltungseinheit an den zu konf igurierenden Busteilnehmer 
versendet. Der angesprochene Busteilnehmer wertet das empfange- 
ne AdreBvergabetelegramm aus, indem er die iibermittelte Teil- 
nehmeradresse extrahiert und anschlieJJend in einem Speicher ab- 
speichert, Bevorzugt speichert er die Teilnehmeradresse dabei 
in einem nicht-f luchtigen Speicher, wie bspw. einem EEPROM. 

Mit Hilfe dieses Verfahrens ist es moglich, dem sicheren Bus- 
teilnehmer von einer zentralen Stelle aus, namlich der Verwal- 
tungseinheit, die definierte Teilnehmeradresse zuzuordnen. Bei 
einem raumlich ausgedehnten Steuerungssystem entfallen daher 
die bisher erf order lichen, langen Laufwege. Dariiber hinaus wird 
durch die Moglichkeit, samtliche Busteilnehmer von einer zen- 
tralen Stelle aus zu konf igurieren, der Uberblick erleichtert 
und so das Fehlerrisiko einer versehentlich falschen Adreiiver- 
gabe verringert. Da zudem sowohl der sichere Busteilnehmer als 
auch die Verwaltungseinheit sicherheitsbezogene Einrichtungen 
aufweisen, kann die Ubertragung der definierten Teilnehme- 
radresse trotz der an sich bestehenden Fehlermoglichkeiten des 
Bussystems auf f ehlersichere Weise erfolgen. 

Die genannte Aufgabe ist daher vollstandig gelost. 

In einer Ausgestaltung des Verfahrens versendet der sichere 
Busteilnehmer nach Empfang des AdreAvergabetelegramms ein zwei- 
tes Anmeldetelegramm an die Verwaltungseinheit, wobei das zwei- 
te Anmeldetelegramm die definierte Teilnehmeradresse beinhal- 
tet . 
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Diese MaBnahme besitzt den Vorteil^ dafl die Verwaltungseinheit 
iiberprufen kann, ob der sichere Busteilnehmer die zugeordnete 
Teilnehmeradresse nicht nur fehlerfrei empfangen, sondern auch 
fehlerfrei verarbeitet hat. Hierdurch wird die Sicherheit der 
AdreBzuordnung nochmals erhbht. Anschaulich gesprochen bedeutet 
die genannte MaBnahme, daB sich der sichere Busteilnehmer nach 
Erhalt der ihm zugeordneten Teilnehmeradresse ein zweites Mai 
bei der Verwaltungseinheit anmeldet. Die MaBnahme besitzt dar- 
iiber hinaus den weiteren Vorteil, daB aus Sicht der Verwal- 
tungseinheit die Universaladresse eindeutig wieder freigegeben 
ist. Somit steht sie einem anderen Busteilnehmer zur Benutzung 
zur Verfugung, ohne daB es zu Mehrdeutigkeiten hinsichtlich des 
betroffenen Busteilnehmers kommen kann. 

In einer weiteren Ausgestaltung der Erfindung versendet der si- 
chere Busteilnehmer das erste Anmeldetelegramm erst nach Emp- 
fang eines definierten Wartungstelegramms an die Verwaltungs- 
einheit, 

Diese MaBnahme besitzt den Vorteil, daB die Verwaltungseinheit 
stets die Kontrolle uber das Geschehen am Feldbus behalt. Es 
ist hiernach ausgeschlossen, daB sich ein neuer, zu konfigurie- 
render Busteilnehmer von sich aus in das Geschehen am Feldbus 
einmischt, ohne hierzu von der Verwaltungseinheit eine Freigabe 
erhalten zu haben. Auch hierdurch wird die Sicherheit des 
Steuerungssystems verbessert, da eine zentrale Kontrolle ge- 
wahrleistet ist. 

In einer bevorzugten Ausgestaltung dieser MaBnahme versendet 
der sichere Busteilnehmer das erste Anmeldetelegramm nur nach 
dem erstmaligen Empfang des definierten Wartungstelegramms an 
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die Verwaltungseinheit , wahrend er bei einem wiederholten Emp- 
fang des definierten Wartungstelegrairans das zweite Anmeldetele- 
gramm versendet. 

Diese MaJ3nahme besitzt den Vorteil^ daB das Wartungstelegrainin 
als sogenanntes Broadcast-Telegramm jeweils gleichzeitig an al- 
le an den Feldbus angeschlossenen Busteilnehmer gemeinsam ver- 
sendet werden kann. Hierdurch vereinfacht sich das erfindungs- 
gemaBe Verfahren, da die Anmeldung des neuen, zu konf igurieren- 
den Busteilnehmers nicht von bereits angemeldeten und konfigu- 
rierten Busteilnehmern gestort oder verzogert wird. Es ist 
hierdurch auch moglich, das erf indungsgemaBe Verfahren mit we- 
sentlich weniger Verf ahrensschritten durchzuf iihren. Der erstma- 
lige Empfang kann sich je nach der konkreten Realisierung des 
erf indungsgemaBen Verfahrens auf den erstmaligen Empfang nach 
jedem Einschalten des Steuerungssystems beziehen. Bevorzugt be- 
zieht er sich jedoch auf den erstmaligen Empfang nach dem An- 
schluB des Busteilnehmers an den Feldbus. 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahmen 
wird das definierte Wartungstelegramm nur nach Aktivieren eines 
besonderen Wartungsmodus der Verwaltungseinheit versendet. 

Die Aktivierung des besonderen Wartungsmodus erfolgt bevorzugt 
durch die Betatigung eines Schliisselschalters oder eines Code- 
schlosses, das mit der Verwaltungseinheit verbunden ist. Der 
besondere Wartungsmodus der Verwaltungseinheit unterscheidet 
sich von alien anderen Betriebsmodi der Verwaltungseinheit dar- 
in, daB nur in diesem Wartungsmodus das definierte Wartungste- 
legramm versendet wird. Die MaBnahme besitzt den Vorteil, daB 
die Zuordnung von Teilnehmeradressen nur nach einem bewuBten 



Eingriff in das sichere Steuerungssystem moglich ist. Hierdurch 
wird eine versehentliche Vergabe von Teilnehmeradressen verhin- 
dert, Infolge dessen ist das Risiko einer falschen Zuordnung 
von Teilnehmeradressen betrachtlich reduziert. 

In einer weiteren Ausgestaltung der zuvor genannten Maiinahme 
beendet die Verwaltungseinheit den besonderen Wartungsmodus au- 
tomatisch nach Empfang des zweiten Anmeldetelegramms . 

Auch diese MaJinahme tragt erheblich dazu bei, das Risiko einer 
fehlerhaften AdreiJ zuordnung zu minimieren^ da der besondere 
Wartungsmodus in diesem Fall nur fiar jeweils eine einzige 
Adrefl zuordnung aktiviert werden kann. Es ist hiernach also fiir 
jede Zuordnung einer Teilnehmeradresse der erneute, bewui3te 
Eingriff in das sichere Steuerungssystem notwendig. Die Sicher- 
heit des Systems wird hierdurch nochmals betrachtlich verbes- 
sert . 

In einer weiteren Ausgestaltung der zuvor genannten MaBnahmen 
wird der Verwaltungseinheit zu Beginn des besonderen Wartungs- 
modus die definierte Teilnehmeradresse ubermittelt. 

Alternativ zu dieser Maflnahme ist es moglich, dai3 die Verwal- 
tungseinheit die definierte Teilnehmeradresse selbstandig aus 
einem Speicher ausliest und somit den einzelnen Busteilnehmern 
der Reihe nach Teilnehmeradressen aus einer Liste von Teilneh- 
meradressen zuordnet. Die zuvor genannte Mai3nahme besitzt dem- 
gegeniiber den Vorteil, daJ3 fiir die Zuordnung jeder individuel- 
len Teilnehmeradresse erneut eine bewufite Handlung desjenigen 
erforderlich ist, der die Konf iguration der Busteilnehmer 



durchfuhren mochte. Auch hierdurch wird die Sicherheit der 
Adreflzuordnung betrachtlich erhoht. 

In einer weiteren Ausgestaltung der zuvor genannten MaJ3nahme 
erzeugt die Verwaltungseinheit ein Fehlersignal, wenn die viber- 
mittelte Teilnehmeradresse bereits an einen an den Feldbus an- 
geschlossenen Busteilnehmer vergeben ist. 

Auch diese MaiSnahme tragt zur Vermeidung einer fehlerhaften 
Adreflzuordnung bei, da hierdurch die mehrfache Zuordnung einer 
Teilnehmeradresse an verschiedene Busteilnehmer zuverlassig 
verhindert ist. 

In einer weiteren Ausgestaltung der Erfindung versendet die 
Verwaltungseinheit Wartungstelegramme in definierten Zeitab- 
standen an alle an den Feldbus angeschlossenen Busteilnehmer. 

Diese Maiinahme steht im Gegensatz dazu, daB ein Wartungstele- 
gramm jeweils nur nach einer individuellen Aktivierung eines 
besonderen Wartungsmodus versendet werden kann. Die genannte 
MaBnahme besitzt demgegenliber den Vorteil, daJ3 der AnschluB ei- 
nes neuen Busteilnehmers im laufenden Betrieb des Steuerungssy- 
stems auf sehr einfache und komfortable Weise moglich ist. Die 
Teilnehmeradresse kann hierbei entweder von der Verwaltungsein- 
heit automatisch aus einer Liste von moglichen Teilnehmeradres- 
sen ausgewahlt werden oder sie kann der Verwaltungseinheit vor 
dem AnschlieBen des neuen Busteilnehmers ubermittelt werden. 

Eine weitere Ausgestaltung des erf indungsgemaJien Verfahrens ist 
durch die folgenden Schritte gekennzeichnet : 



Uberpriifen der Anwesenheit aller aktiv an den Feldbus an- 
geschlossenen Busteilnehmer anhand einer Sollkonf iguration 
von Busteilnehmern sowie anhand von Antworttelegrammen der 
Busteilnehmer und 

Versenden der Teilnehmeradresse eines als nicht mehr aktiv 
erkannten Busteilnehmers als definierte Teilnehmeradresse. 

Diese Ausgestaltung der Erfindung ist besonders vorteilhaft im 
Hinblick auf Wartungsarbeiten an einem bereits eingerichteten, 
sicheren Steuerungssystem. Mit der bekannten Mafinahme ist es 
namlich auf einfache Weise moglich, einen defekten Busteilneh- 
mer durch einen neuen Busteilnehmer auszutauschen, ohne dafl dem 
neuen Busteilnehmer hierbei bewuBt eine Teilnehmeradresse zuge- 
ordnet werden muJ3. Die Verwaltungseinheit priift in dieser Aus- 
gestaltung des Verfahrens namlich laufend, ob alle bei ihr an- 
gemeldeten Busteilnehmer aktiv am Feldbus angeschlossen sind, 
Fehlt ein einzelner Busteilnehmer, so deutet dies auf einen De- 
fekt Oder darauf hin, dai3 dieser Busteilnehmer bereits vom 
Feldbus abgetrennt wurde. Aufgrund der bekannten Sollkonf igura- 
tion kann die Verwaltungseinheit die Teilnehmeradresse dieses 
fehlenden Busteilnehmers identif izieren, Sobald sich bei der 
Verwaltungseinheit dann ein neuer Busteilnehmer unter der fest- 
gelegten Universaladresse anmeldet, wird diesem die Teilnehme- 
radresse des fehlenden Busteilnehmers zugeordnet. Auf diese 
Weise ist der Austausch eines defekten Busteilnehmers moglich, 
ohne daJ3 dem neuen Busteilnehmer die alte Teilnehmeradresse von 
Hand zugeordnet werden mul3. Besonders bevorzugt wird diese Aus- 
gestaltung der Erfindung damit kombiniert, daJ3 das definierte 
Wartungstelegramm nur nach Aktivieren eines besonderen War- 
tungsmodus der Verwaltungseinheit versendet wird. In dieser 
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Kombination ist namlich einerseits eine sehr groBe Sicherheit 
beziiglich der Zuordnung einer Teilnehmeradresse gegeben, wah- 
rend andererseits ein defekter Busteilnehmer sehr einfach und 
ohne Fachkenntnisse ausgetauscht werden kann. Dies ist beson- 
ders vorteilhaft im Hinblick auf Produktionsanlagen, die rund 
um die Uhr betrieben werden. 

In einer weiteren Ausgestaltung der Erfindung erzeugt die Ver- 
waltungseinheit ein Fehlersignal, wenn mehr als ein Busteilneh- 
mer das erste Anmeldetelegramm versendet. 

Auch diese Mai3nahme besitzt den Vorteil, dafl die Sicherheit er- 
hoht wird, da in diesem Fall die gleichzeitige Zuordnung einer 
Teilnehmeradresse an mehrere Busteilnehmer verhindert ist. 

In einer weiteren Ausgestaltung der Erfindung werden zumindest 
das erste Anmeldetelegramm sowie das AdreBvergabetelegramm mit 
jeweils einem Quittungstelegramm beantwortet. 

Diese MaJ3nahme zielt darauf ab, dai3 der Empfanger der genannten 
Telegramme unabhangig von deren eigentlicher Verarbeitung ein 
Quittungstelegramm an den Absender zuriickschickt . Hierdurch 
wird ebenfalls die Sicherheit der AdreBzuordnung betrachtlich 
erhoht, da der Absender auf diese Weise iiberpriifen kann^ ob der 
Empfanger das jeweilige Telegramm fehlerfrei erhalten hat. 

Es versteht sich, daJ3 die vorstehend genannten und die nach- 
stehend noch zu erlauternden Merkmale nicht nur in der jeweils 
angegebenen Kombination, sondern auch in anderen Kombinationen 
Oder in Alleinstellung verwendbar sind, ohne den Rahmen der 
vorliegenden Erfindung zu verlassen. 
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Ausf uhrungsbeispiele der Erfindung sind in der Zeichnung 
dargestellt und werden in der nachf olgenden Beschreibung naher 
erlautert. Es zeigen: 

Fig. 1 eine schematische Darstellung eines Steuerungssy- 
stems zum sicheren Steuern von sicherheitskritischen 
Prozessen, 

Fig. 2 den Koinmunikationsablauf zwischen einer Verwaltungs- 
einheit und zwei Busteilnehmern bei einem ersten 
Ausf iihrungsbeispiel der Erfindung und 

Fig. 3 den Kommunikationsablauf zwischen der Verwaltungs- 
einheit und den beiden Busteilnehmern bei weiteren 
Ausf iihrungsbeispielen der Erfindung • 

In Fig. 1 ist ein Steuerungssystem zum sicheren Steuern von si- 
cherheitskritischen Prozessen in seiner Gesamtheit mit der Be- 
zugsziffer 10 bezeichnet. 

Das Steuerungssystem 10 besitzt zwei sichere Steuerungseinhei- 
ten 12 und 14, die iiber einen Feldbus 16 mit insgesamt vier si- 
cheren Signaleinheiten 18 , 20, 22 und 24 verbunden sind. Die 
Steuerungseinheiten 12, 14 und die Signaleinheiten 18 bis 24 
sind Busteilnehmer im Sinne der vorliegenden Erfindung. 

Jede der sicheren Signaleinheiten 18 bis 24 weist mehrere E/A- 
Kanale auf, liber die sie mit jeweils einem sicherheitskriti- 
schen ProzeB 28, 30, 32 verbunden ist. Im vorliegenden Fall 
sind die sicheren Signaleinheiten 18 und 20 mit dem ProzeB 28 
verbunden, wahrend die Signaleinheit 22 mit dem Proze3 30 und 



die Signaleinheit 24 mit dem ProzeB 32 verbunden ist. Bei deiti 
sicherheitskritischen ProzeB 28 handelt es sich bspw. um die 
Zwei-Hand-Steuerung einer Maschinenanlage , bei der auBerdem 
auch die Drehzahl einer hier nicht dargestellten Maschinenwelle 
iiberwacht wird. Der sicherheitskritische ProzeB 30 ist bspw. 
die Uberwachung eines Not-Aus-Schalters und der sicherheitskri- 
tische ProzeB 32 die Uberwachung eines Schutzgitters (hier 
ebenfalls nicht dargestellt) . 

Die Signaleinheiten 18 bis 24 lesen uber ihre E/A-Kanale 26 Si- 
gnale und/oder Datenwerte der sicherheitskritischen Prozesse 28 
bis 32 ein. Derartige Signale bzw. Datenwerte sind bspw. die 
aktuelle Drehzahl der Maschinenwelle und die Schalterstellung 
des Not-Aus-Schalters . Andererseits konnen die Signaleinheiten 
18 bis 24 iiber die E/A-Kanale 26 auf hier nicht dargestellte 
Aktoren einwirken, mit denen die sicherheitskritischen Prozesse 
28 bis 32 beeinfluBt werden. So gehort bspw. zu dem sicher- 
heitskritischen ProzeB 30, bei dem die Schalterstellung des 
Not-Aus-Schalters Iiberwacht wird, ein Aktor, mit dem die Strom- 
versorgung der gesteuerten und iiberwachten Maschinenanlage ab- 
geschaltet werden kann. 

Die sicheren Steuerungseinheiten 12 und 14 sind SPS- 
Steuerungen. Sie sind hier vom Grundsatz her gleich zueinander 
aufgebaut und unterscheiden sich im wesentlichen durch ver- 
schiedenen Anwendungsprogramme , die auf ihnen ausgefiihrt wer- 
den. 

Bei der nachf olgenden Erlauterung der Steuerungseinheiten 12, 
14 bzw. der Signaleinheiten 18 bis 24 sind die jeweils genann- 



ten Bezugszeichen in Fig. 1 aus Griinden der Ubersichtlichkeit 
nur einfach aufgefuhrt. 

Die Steuerungseinheiten 12, 14 beinhalten jeweils einen siche- 
ren Verarbeitungsteil 34, der in Fig. 1 oberhalb der strich- 
punktierten Linie 36 dargestellt ist. Unterhalb der Linie 36 
befindet sich ein nicht-sicherer Teil 38, der im wesentlichen 
einen als Buscontroller bezeichneten Baustein 40 enthalt. Der 
Buscontroller 40 ist ein Standard-Baustein, in dem das Stan- 
dard-Protokoll des verwendeten Feldbusses 16 implementiert ist. 
Der Buscontroller 40 ist in der Lage, das Versenden und Empfan- 
gen von Nachrichten in Form von Telegrammen eigenstandig abzu- 
wickeln. Die zu versendenden Nachrichten erhalt der Buscontrol- 
ler 40 von dem sicheren Verarbeitungsteil 34. Umgekehrt stellt 
der Buscontroller 40 empfangene Nachrichten dem sicheren Verar- 
beitungsteil 34 zur Verfiigung. 

Entsprechend einer bevorzugten Ausfiihrung der Erfindung handelt 
es sich bei dem Feldbus 16 hier um einen CAN-Bus. Bei diesem 
Bus werden die zu versendenden Nachrichten innerhalb eines 
Nutzdatenf eldes iibertragen, das fiir seinen Weg uber den Feldbus 
16 mit zusatzlichen Steuerungsinf ormationen erganzt wird. Das 
gesamte Paket aus Steuerungsinf ormationen und Nutzdatenf eld 
bildet das Bustelegramm. Der Buscontroller 40 ist in der Lage, 
Nachrichten, die er von dem sicheren Verarbeitungsteil 34 er- 
halt, selbstandig in der dem Protokoll entsprechenden Form in 
die zu versendenden Bustelegramme einzubetten. Umgekehrt kann 
er bei einem empfangenen Bustelegramme die im Nutzdatenf eld 
enthaltenen Nachrichten extrahieren. 



18 



Der sichere Verarbeitungsteil 34 jeder Steuerungseinheit 12, 14 
ist zweikanalig-redundant aufgebaut. Jeder der beiden Kanale 
enthalt im wesentlichen einen Prozessor 42a, 42b mit jeweils 
zugehoriger Peripherie, mit dem ein Anwendungsprogramm 44a, 44b 
ausgefuhrt wird. In dem Anwendungsprogramm 44a, 44b ist die 
Steuerung der Maschinenanlage und damit die Intelligenz der 
Steuerungseinheiten 12, 14 niedergelegt . 

Die beiden Prozessoren 42a, 42b fiihren sicherheitsrelevante 
Aufgaben redundant zueinander aus. Dabei kontrollieren sie sich 
gegenseitig, was in Fig. 1 durch einen Pfeil 46 dargestellt 
ist. Die sicherheitsrelevanten Aufgaben beinhalten bspw. MaJ3- 
nahmen zur Fehlersicherung von ubertragenen bzw. versendeten 
Nachrichten. Diese MaBnahmen erfolgen zusatzlich und in Ergan- 
zung zu FehlersicherungsmaBnahmen, die bereits standardmafiig 
von dem Buscontroller 40 durchgefuhrt werden. Hierdurch ist es 
moglich, die Fehlerwahrscheinlichkeit gegeniiber dem an sich 
nicht-sicheren Feldbus 16 betrachtlich zu erhohen. 

Die Signaleinheiten 18 bis 24 sind iiber den gleichen Buscon- 
troller 40 an den Feldbus 16 angeschlossen wie die sicheren 
Steuerungseinheiten 12, 14. Dement sprechend ist der Teil 4 8 
oberhalb der Linie 50 in Fig. 1 wiederum nicht-sicher im Sinne 
der vorliegenden Erfindung. In dem sicheren Verarbeitungsteil 
unterhalb der Linie 50 ist jede Signaleinheit 18 bis 24 wieder- 
um zweikanalig-redundant aufgebaut. Die beiden redundanten Ver- 
arbeitungskanale sind wiederum in der Lage, eine gegenseitige 
Fehleriiberwachung durchzuf iihren. 

Jeder der Verarbeitungskanale der Signaleinheiten 18 bis 24 be- 
sitzt einen Prozessor 54a, 54b sowie ein Schaltmittel 56a, 56b. 
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Mit den Bezugszif f ern 58a, 58b ist jeweils ein Speicher be- 
zeichnet, in dem einerseits eine festgelegte Universaladresse 
abgelegt ist und in dem die Prozessoren 54a, 54b andererseits 
eine zugeordnete Teilnehmeradresse abspeichern konnen. In Ver- 
bindung mit dem Buscontroller 40 ist jede Signaleinheit 18 bis 
24 daher in der Lage, sich unter der festgelegten Universal- 
adresse bei einer an dem Feldbus angeschlossenen Verwaltungs- 
einheit anzumelden bzw. umgekehrt ein AdreJ3vergabetelegramm mit 
einer zugeordneten Teilnehmeradresse aufzunehmen und auszuwer- 
ten. Dieselbe Fahigkeit besitzen auch die sicheren Steuerungs- 
einheiten 12, 14, wenngleich dies in Fig. 1 nicht explizit dar- 
gestellt ist- 

Die Schaltmittel 56a, 56b versetzen die Signaleinheiten 18 bis 
24 in die Lage, die hier nicht dargestellten Aktoren zur Beein- 
flussung der sicherheitskritischen Prozesse 28 bis 32 zu akti- 
vieren. Damit sind die sicheren Signaleinheiten 18 bis 24 in 
der Lage, die sicherheitskritischen Prozesse 28 bis 32 in einen 
sicheren Zustand zu uberfiihren, wie bspw. bei einer Betatigung 
des Not-Aus-Schalters die Maschinenanlage abzuschalten. 

Mit der Bezugszif fer 70 ist in Fig. 1 die bereits erwahnte Ver- 
waltungseinheit bezeichnet, die in der Fachterminologie auch 
als "Management Device" bezeichnet wird. Die Verwaltungseinheit 
70 ist ebenfalls iiber einen Buscontroller 40 an den Feldbus 16 
angeschlossen. Sie kann daher mit den ubrigen an den Feldbus 16 
angeschlossenen Einheiten kommunizieren. An der Steuerung der 
sicherheitskritischen Prozesse 28 bis 32 ist sie jedoch nicht 
unmittelbar beteiligt. 
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In ihrem sicheren Verarbeitungsteil besitzt die Verwaltungsein- 
heit 70 im wesentlichen zwei zueinander redundante Speicher 
72a, 72b, in denen unter anderem die gesamte Konf iguration des 
Steuerungssystems 10, insbesondere die Zuordnung der definier- 
ten Teilnehmeradressen an die Busteilnehmer 12, 14 bzw. 18 bis 
24 abgelegt ist. Die Verwaltungseinheit 7 0 besitzt eine zentra- 
le Verwaltungs- und Uberwachungsf unktion, die unabhangig von 
der Steuerung der Prozesse 28 bis 32 ablauft. Beispielsweise 
initiiert die Verwaltungseinheit 70 in regelmafligen Zeitinter- 
vallen eine Verbindungspriif ung zwischen den Steuerungseinheiten 
12, 14 und den Signaleinheiten 18 bis 24. Dabei iiberpriift die 
Verwaltungseinheit 70 durch Versenden eines Verbindungspriif te- 
legramms an die Steuerungseinheiten 12, 14 , ob die Verbindung 
zu diesen Steuerungseinheiten fehlerfrei f unktioniert . Als Re- 
aktion auf dieses Priif telegramm versenden die Steuerungseinhei- 
ten 12, 14 ihrerseits Priif telegrainme an die ihnen zugeordneten 
Signaleinheiten 18 bis 24. Die Verwaltungseinheit 70 iibeanvacht 
dabei den gesamten Datenverkehr und erhalt hierdurch in regel- 
maJJigen Zeitintervallen eine Information dariiber, ob inrnier noch 
alle ihr bekannten Busteilnehmer aktiv am Feldbus 16 ange- 
schlossen sind. Bei Ausbleiben eines erwarteten Priif telegramms 
Oder auch beim Ausbleiben eines erwarteten Antworttelegramms 
erzeugt die Verwaltungseinheit ein Fehlertelegramm, aufgrund 
dessen die sicherheitskritischen Prozesse 28 bis 32 in ihren 
sicheren Zustand iiberfiihrt werden. 

Alternativ zu dem hier dargestellten Ausf iihrungsbeispiel kann 
die Verwaltungseinheit 70 auch in einer der Steuerungseinheiten 
12, 14 integriert sein. In diesem Fall stellt die Verwaltungs- 
einheit 7 0 einen Funktionsblock innerhalb der Steuerungseinheit 
12, 14 dar. In einem weiteren, hier ebenfalls nicht dargestell- 



ten Ausf iihrungsbeispiel besitzt das Steuerungssystem 10 nur si- 
ne Steuerungseinheit 12 • 

Mit der Bezugsziffer 80 ist beispielhaft ein Bustelegramm be- 
zeichnet, das zwischen zwei Busteilnehmern iiber den Feldbus 16 
iibertragen wird. Das Bustelegramm 80 weist dem verwendeten, 
standardisierten Protokoll entsprechend ein AdreiJfeld 82 sowie 
ein Nutzdatenfeld 84 auf • Zudem konnen weitere^ hier nicht dar- 
gestellte Steuerungsinf ormationen in dem Bustelegramm 80 ent- 
halten sein. 

In der Darstellung in Fig. 1 ist jeder der an den Feldbus 16 
angeschlossenen Einheiten eine individuelle, definierte Teil- 
nehmeradresse 90 zugeordnet, die bei der Steuerungseinheit 14 
beispielhaft mit "2" angenommen ist. Die Verwaltungseinheit 7 0 
besitzt hiernach die definierte Teilnehmeradresse "0" und die 
Signaleinheit 18 beispielhaft die Teilnehmeradresse "3". Dar- 
iiber hinaus ist in jeder Einheit eine festgelegte Universal- 
adresse 92 abgelegt^ die in Fig. 1 symbolisch als "xy" darge- 
stellt ist. Es versteht sich, dai3 sowohl die Teilnehmeradresse 
90 als die Universaladresse 92 jeweils als Datenwert in einem 
Speicher der einzelnen Einheiten abgelegt ist. 

In Fig. 2 ist am Beispiel der Verwaltungseinheit 70^ der siche- 
ren Steuerungseinheit 12 sowie der sicheren Signaleinheit 18 
der zeitliche Ablauf der Kommunikation beim Konf igurieren der 
Signaleinheit 18 dargestellt. Dabei verlauft eine Zeitachse in 
Richtung des Pfeils 100. Die einzelnen Telegramme, die zwischen 
den verschiedenen Einheiten versendet werden, sind anhand von 
Pfeilen symbolisiert , deren Ausgangspunkt beim Absender mit ei- 
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nem Punkt versehen ist und deren Endpunkt jeweils auf den Emp- 
f anger verweist. 

In dem ersten Zeitabschnitt in Fig. 2 ist die sichere Si- 
gnaleinheit 18 noch nicht am Feldbus 16 angeschlossen . Sie ist 
daher in diesem Zeitabschnitt nur gestrichelt dargestellt. Die 
Verwaltungseinheit 70 versendet in regelmaBigen Zeitabstanden 
ein Verbindungspriifungstelegramm 102 an die Steuerungseinheit 
12. Diese antwortet daraufhin mit einem Antworttelegramm 104. 
Der Eingang des Antworttelegramms 104 innerhalb einer vorgege- 
benen Zeitspanne wird von der Verwaltungseinheit 70 iiberwacht. 
Infolge dessen ist die Verwaltungseinheit 70 in der Lage^ die 
tatsachliche Anzahl der aktiv an den Feldbus 16 angeschlossenen 
Einheiten mit der Sollanzahl gemaJ3 einer Sollkonf iguration zu 
vergleichen. Nach Ablauf der festgelegten Zeitspanne wiederholt 
sich der Vorgang, d.h. die Verwaltungseinheit 70 versendet er- 
neut das Verbindungspriifungstelegramm 102 und empfangt das Ant- 
worttelegramm 104. 

Nun sei angenommen, daJ3 die Signaleinheit 18 neu an den Feldbus 
16 angeschlossen werden soli. Dementsprechend mufi die Sig- 
naleinheit 18 konfiguriert werden, wobei ihr eine definierte 
Teilnehmeradresse 90 zugeordnet wird. GemaB dem hier darge- 
stellten Ausf iihrungsbeispiel der Erfindung wird die Verwal- 
tungseinheit 70 zunachst in einen besonderen Wartungsmodus ver- 
setzt. Dies geschieht bei dem bevorzugten Ausf iihrungsbeispiel 
mit Hilfe eines Schliisselschalters , der an der Verwaltungsein- 
heit 70 angeordnet ist. Die Aktivierung des besonderen War- 
tungsmodus ist in Fig. 2 anhand der Linie 106 symbolisiert . 
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Nach der Aktivierung des besonderen Wartungsmodus wird der Ver- 
waltungseinheit 70 mit Hilfe eines Eingabegerates 108 die defi- 
nierte Teilnehmeradresse 90 iibermittelt , die der Signaleinheit 
18 zugeordnet werden soli. AnschlieBend versendet die Verwal- 
tungseinheit 7 0 ein definiertes Wartungstelegramm 110, das sich 
von dem Verbindungspriif ungstelegramm 102 im normalen Betriebs- 
modus der Verwaltungseinheit 70 unterscheidet . Die bereits an 
den Feldbus 16 angeschlossene Steuerungseinheit 12 antwortet 
auf den Empfang des Wartungstelegramms 110 mit einem Anmeldete- 
legramm 112, das die definierte Teilnehmeradresse der Steue- 
rungseinheit 12, hier also beispielhaft die Teilnehmeradresse 
"1", beinhaltet. Das Anmeldetelegramm 112 ist somit das zweite 
Anmeldetelegramm im Sinne der vorliegenden Erfindung. 

Der Versand des Wartungstelegramms 110 bzw. der Empfang des 
zweiten Anmeldetelegramms 112 wiederholt sich zyklisch. Wahrend 
dieser Zeit ist es moglich, die sichere Signaleinheit 18 an den 
Feldbus 16 anzuschlieJ3en . Nachdem dies geschehen ist, empfangt 
die Signaleinheit 18 ebenso wie die Steuerungseinheit 12 das 
Wartungstelegramm 110. Wahrend die Steuerungseinheit 12 auf 
dieses Wartungstelegramm 110, wie zuvor beschrieben, mit dem 
zweiten Anmeldetelegramm 112 antwortet, versendet die Si- 
gnaleinheit 18 als Antwort auf den erstmaligen Empfang des War- 
tungstelegramms 110 ein erstes Anmeldetelegramm 114, das die 
festgelegte Universaladresse "xy" beinhaltet. Die Verwaltungs- 
einheit 70 empfangt das erste Anmeldetelegramm 114 und versen- 
det ein Quittungstelegramm 116 an die Signaleinheit 18. An- 
schlieiJend versendet die Verwaltungseinheit 70 ein AdreJJverga- 
betelegramm 118, in dessen Nutzdatenfeld die definierte Teil- 
nehmeradresse "3" enthalten ist. Die Signaleinheit 18 quittiert 
den Empfang des AdreBvergabetelegramms 118 mit einem Quit- 



tungstelegramm 116. AnschlieBend legt die Signaleinheit 18 die 
definierte Teilnehmeradresse "3" in einem Speicher 120 ab. 

Nachdem die Verwaltungseinheit 70 das Quittungstelegramm 116 
von der Signaleinheit 18 empfangen hat, versendet sie erneut 
das Wartungstelegramm 110. Daraufhin meldet sich die Steue- 
rungseinheit 12, wie iiblich, mit dem zweiten Anmeldetelegramm 
112 bei der Verwaltungseinheit 70 an. Dariiber hinaus meldet 
sich nun jedoch auch die Signaleinheit 18 mit ihrem zweiten An- 
meldetelegramm 112 bei der Verwaltungseinheit 70 an. In diesem 
Fall enthalt das zweite Anmeldetelegramm 112 die Teilnehme- 
radresse "3", die der Signaleinheit 18 zugeordnet wurde. Die 
Verwaltungseinheit 70 quittiert den Empfang des zweiten Anmel- 
detelegramms 112 mit einem Quittungstelegramm 116. 

Nach dem Ablauf des beschriebenen Telegrammverkehrs ist die Si- 
gnaleinheit 18 im Sinne der vorliegenden Erfindung konfigu- 
riert. GemaB dem bevorzugten Ausf iihrungsbeispiel der Erfindung 
beendet die Verwaltungseinheit 70 daher automatisch den beson- 
deren Wartungsmodus , was anhand der Linie 122 angedeutet ist. 
Sodann findet wiederum der bereits beschriebene, normale Daten- 
verkehr zwischen der Verwaltungseinheit 70 und den an den Feld- 
bus 16 angeschlossenen Einheiten 12, 18 statt. Hierbei versen- 
det die Verwaltungseinheit 70 in zyklischen Zeitabstanden das 
Verbindungspriifungstelegramm 102 und empfangt die Antworttele- 
gramme 104. 

Aus Griinden der Ubersichtlichkeit wurde der Versand des Quit- 
tungstelegramms 116 hier nur in Bezug auf die zu konf igurieren- 
de Signaleinheit 18 erwahnt. Abweichend hiervon wird bei dem 
bevorzugten Ausf iihrungsbeispiel des Steuerungssystems 10 jedoch 
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jedes versendete Telegramm mit einem Quittungstelegramm 116 be- 
antwortet. Das Ausbleiben des Quittungstelegramms 116 fiihrt au- 
tomatisch zur Erzeugung einer Fehlermeldung. 

Fig. 3 zeigt den Ablauf des erf indungsgemaJJen Verfahrens bei 
einem Austausch der Signaleinheit 18. Auch hierbei befindet 
sich die Verwaltungseinheit 70 zunachst in ihrem normalen Be- 
triebsmodus, in dem sie in zyklischen Zeitabstanden Verbin- 
dungsprufungstelegramme 102 an samtliche an den Feldbus 16 an- 
geschlossenen Einheiten versendet. Die angeschlossenen Einhei- 
ten, in diesem Fall die Steuerungseinheit 12 und die Signalein- 
heit 18, antworten mit entsprechenden Antworttelegrammen 104. 
Aufgrund dieser Antworttelegramme ist die Verwaltungseinheit 70 
iiber die Anzahl der aktiv an den Feldbus 16 angeschlossenen 
Einheiten 12, 18 informiert. 

Zum Austausch der Signaleinheit 18 wird zunachst die Verwal- 
tungseinheit 70 in den besonderen Wartungsmodus versetzt. Dies 
ist anhand der Linie 106 dargestellt. Zuvor wurde die auszutau- 
schende Signaleinheit 18 vom Feldbus 16 abgetrennt. 

In dem besonderen Wartungsmodus versendet die Verwaltungsein- 
heit 70, wie erlautert, ein definiertes Wartungstelegramm 110, 
das jedoch die Signaleinheit 18 nicht mehr erreicht. Dies ist 
in Fig. 3 anhand des gestrichelten Pfeils 123 dargestellt. Die 
Steuerungseinheit 12 antwortet wie iiblich mit dem zweiten An- 
meldetelegramm 112 auf den Empfang des Wartungstelegramms 110. 
Das zweite Anmelde telegramm der Signaleinheit 18 bleibt hinge- 
gen aus, was durch den gestrichelten Pfeil 124 dargestellt ist. 
Die Verwaltungseinheit 17 kann daher erkennen, dai3 die Si- 
gnaleinheit 18 nicht mehr aktiv an den Feldbus 16 angeschlossen 



ist. Sie speichert daher die definierte Teilnehmeradresse "3", 
die der Signaleinheit 18 zugeordnet war, in einem Speicher 126. 
Anschlieiiend versendet sie das Wartungstelegramm 110 erneut in 
zyklischen Zeitabstanden • Die Steuerungseinheit 12 antwortet 
hierauf, wie erlautert, mit dem zweiten Anmeldetelegramm 112. 

Nun kann die Signaleinheit 18 Oder ein entsprechendes Aus- 
tauschgerat an den Feldbus 16 angeschlossen werden. 

Sobald die neu angeschlossene Signaleinheit 18 das Wartungste- 
legramm 110 empfangt, versendet sie das erste Anmeldetelegramm 
114, in dem die festgelegte Universaladresse "xy" enthalten 
ist. Die neue Signaleinheit 18 meldet sich hierdurch bei der 
Verwaltungseinheit 70 unter der festgelegten Universaladresse 
"xy" an. Die Verwaltungseinheit 7 0 quittiert den Empfang des 
ersten Anmeldetelegramms 114, wie bereits erlautert, mit einem 
Quittungstelegramm 116 und versendet anschlieJ3end das Adrel3ver- 
gabetelegramm 118. Dieses enthalt nun die definierte Teilnehme- 
radresse "3", die die Verwaltungseinheit 70 zuvor in den Spei- 
cher 126 abgelegt hat. Die Signaleinheit 18 quittiert den Emp- 
fang des Adreiivergabetelegramms 118 mit einem Quittungstele- 
gramm 116 und speichert die zugeordnete Teilnehmeradresse "3" 
in ihrem Speicher 120 ab. AnschlieBend versendet die Verwal- 
tungseinheit 70 erneut das Wartungstelegramm 110 und empfangt 
sowohl von der Steuerungseinheit 12 als auch von der Signalein- 
heit 18 das zweite Anmeldetelegramm 112. Sie quittiert den Emp- 
fang dieser Anmeldungstelegramme mit dem Quittungstelegramm 116 
und beendet den besonderen Wartungsmodus, was wiederum anhand 
der Linie 122 dargestellt ist. 



Mit diesem beschriebenen Verfahren ist es somit moglich, einen 
an den Feldbus 16 angeschlossenen Busteilnehmer auszutauschen, 
ohne dai3 man dessen definierte Teilnehmeradresse kennen itiuB. 

In dem nachsten Zeitabschnitt in Fig. 3 ist der Verf ahrensab- 
lauf dargestellt^ der sich ergibt, wenn sich mehrere Bus- 
teilnehmer unter der festgelegten Universaladresse "xy" bei der 
Verwaltungseinheit 70 anmelden. Wie zuvor beschrieben, wurde 
die Verwaltungseinheit 70 zunachst in den besonderen Wartungs- 
modus versetzt. Sie versendet daraufhin das Wartungstelegramm 
110. Wenn nun sowohl die Steuerungseinheit 12 als auch die Si- 
gnaleinheit 18 mit dem ersten Anmeldetelegramm 114 antworten, 
aktiviert die Verwaltungseinheit 70 eine Fehleranzeige 128 und 
bricht den besonderen Wartungsmodus ab. 

In dem nachsten Zeitabschnitt ist eine weitere Fehlerquelle 
dargestellt. Hierbei ist angenommen, dai3 der Verwaltungseinheit 
7 0 nach dem Aktivieren des besonderen Wartungsmodus iiber das 
Eingabegerat 108 eine Teilnehmeradresse iibermittelt wird, die 
bereits einem an den Feldbus 16 angeschlossenen Busteilnehmer 
zugeordnet ist. Die Verwaltungseinheit 70 erkennt aufgrund der 
ihr bekannten Sollkonf iguration der aktiven Busteilnehmer die 
doppelte AdreBvergabe und aktiviert die Fehleranzeige 128. Au- 
Berdem beendet sie wiederum den besonderen Wartungsmodus. 



Patentanspruche 



Verfahren zum Konf igurieren eines sicheren Busteilnehmers 
(12, 14, 18 - 24) beim AnschlieBen an einen Feldbus (16) 
in einem sicheren Steuerungssystem (10), wobei dem siche- 
ren Busteilnehmer (12, 14, 18 - 24) eine definierte Teil- 
nehmeradresse (90) zugeordnet wird, gekennzeichnet durch 
die Schritte : 

Versenden eines ersten Anmeldetelegramms (114) von 
dem sicheren Busteilnehmer (12, 14, 18 - 24) zu ei- 
ner an den Feldbus (16) angeschlossenen Verwaltungs- 
einheit (70), wobei das erste Anmeldetelegramm (114) 
eine festgelegte Universaladresse (92) beinhaltet, 

- Versenden eines AdreBvergabetelegramms (118) von der 
Verwaltungseinheit (70) an den sicheren Busteilneh- 
mer (12, 14, 18 - 24), wobei das AdreBvergabetele- 
gramm (118) die definierte Teilnehmeradresse (90) 
beinhaltet und 

- Abspeichern der definierten Teilnehmeradresse (90) 
in einem Speicher (58; 120) des sicheren Busteilneh- 
mers . 



Verfahren nach Anspruch 1, dadurch gekennzeichnet , daJ3 der 
sichere Busteilnehmer {12, 14, 18 - 24) nach Empfang des 
Adreflvergabetelegramms (118) ein zweites Anmeldetelegramm 
(112) an die Verwaltungseinheit (70) versendet, wobei das 
zweite Anmeldetelegramm (112) die definierte Teilnehme- 
radresse (90) beinhaltet . 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet , 
dai3 der sichere Busteilnehmer (12^ 14, 18 - 24) das erste 
Anmeldetelegramm (114) nach dem Empfang eines definierten 
Wartungstelegramms (110) an die Verwaltungseinheit (70) 
versendet . 

Verfahren nach Anspruch 3, dadurch gekennzeichnet , daJ3 der 
sichere Busteilnehmer (12, 14, 18 - 24) das erste Anmelde- 
telegramm (114) nur nach dem erstmaligen Empfang des defi- 
nierten Wartungstelegramms (110) an die Verwaltungseinheit 
(70) versendet, wahrend er bei einem wiederholten Empfang 
des definierten Wartungstelegramms (110) das zweite Anmel- 
detelegramm (112) an die Verwaltungseinheit (70) versen- 
det. 

Verfahren nach Anspruch 3 oder 4, dadurch gekennzeichnet , 
das definierte Wartungstelegrarom (110) nur nach Aktivieren 
(106) eines besonderen Wartungsmodus (106) der Verwal- 
tungseinheit (70) versendet wird. 

Verfahren nach Anspruch 5, dadurch gekennzeichnet, dafl die 
Verwaltungseinheit (70) den besonderen Wartungsmodus nach 
Empfang des zweiten Anmeldetelegramms (112) automatisch 
beendet (122). 



Verfahren nach Anspruch 5 Oder 6, dadurch gekennzeichnet , 
daB der Verwaltungseinheit (70) zu Beginn des besonderen 
Wartungsmodus die definierte Teilnehmeradresse (90) iiber- 
mittelt wird (108). 

Verfahren nach Anspruch 1, dadurch gekennzeichnet , daJ3 die 
Verwaltungseinheit (70) ein Fehlersignal (128) erzeugt, 
wenn die ubermittelte Teilnehmeradresse (90) bereits an 
einen an den Feldbus (16) angeschlossenen Busteilnehmer 
(12, 14, 18-24) vergeben ist. 

Verfahren nach Anspruch 3, dadurch gekennzeichnet , dal3 die 
Verwaltungseinheit (70) Wartungstelegramme (110) in defi- 
nierten Zeitabstanden an alle an den Feldbus (16) ange- 
schlossenen Busteilnehmer (12, 14, 18 - 24) versendet. 

Verfahren nach einem der Anspriiche 1 bis 9, gekennzeichnet 
ferner durch die Schritte: 

Uberpriifen der Anwesenheit aller aktiv an den Feld- 
bus (16) angeschlossenen Busteilnehmer (12, 14, 18 - 
24) anhand einer Sollkonf iguration von Busteilneh- 
mern (12, 14, 18 - 24) sowie anhand von Antworttele- 
grammen (104) der Busteilnehmer (12, 14, 18 - 24) 
und 

Verwenden der Teilnehmeradresse (90) eines als nicht 
mehr aktiv erkannten Busteilnehmers (12, 14, 18 - 
24) als definierte Teilnehmeradresse (90). 



4 

11. Verfahren nach einem der Anspriiche 1 bis 10, dadurch ge- 
kennzeichnet , dai3 die Verwaltungseinheit (70) ein Fehler- 
signal (128) erzeugt, wenn mehr als ein Busteilnehmer {12, 
14, 18-24) das erste Anmeldetelegramm (114) versendet. 

12. Verfahren nach einem der Anspruche 1 bis 11, dadurch ge- 
kennzeichnet , dai3 zumindest das erste Anmeldetelegramm 
(114) sowie das AdreJ3vergabetelegramm (118) mit jeweils 
einem Quittungstelegramm (116) beantwortet werden. 

p 

^ 13. Steuerungssystem zum sicheren Steuern von sicherheitskri- 

tischen Prozessen (28 - 32), mit zumindest einem sicheren 
Busteilnehmer (12, 14, 18 - 24), der an einen Feldbus (16) 
angeschlossen ist, wobei der sichere Busteilnehmer (12, 
14, 18-24) erste Mittel (40) zum Aufnehmen und Auswerten 
eines Bustelegramms (80) sowie einen Speicher (58; 120) 
zum Speichern einer dem Busteilnehmer (12, 14, 18 - 24) 
zugeordneten Teilnehmeradresse (90) aufweist, dadurch ge- 
kennzeichnet , daB der Busteilnehmer (12, 14, 18 - 24) 
zweite Mittel (40, 120; 40, 58) aufweist, um sich unter 
einer festgelegten Universaladresse (92) bei einer an den 
f Feldbus (16) angeschlossenen Verwaltungseinheit (70) anzu- 

melden, sowie dritte Mittel (42, 54), um ein Adreflvergabe- 
telegramm (118) mit der Teilnehmeradresse (90) aufzunehmen 
und auszuwerten. 
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